Home > Crapple, Datensch(m)utz, Exploits, Linux/Unix, Microsoft, Opensource, Pentesting, Security, Tools > Inception: IEEE 1394 SBP-2 DMA Exploiting kostenfrei

Inception: IEEE 1394 SBP-2 DMA Exploiting kostenfrei

Die beiden Kits Forensic Disk Decryptor von Elcomsoft oder Kit Forensic von Passware haben es bereits vorgemacht und nun kommt Inception, ein kostenfreies Tool fuerinception IEEE 1394 SBP-2 DMA Exploiting.

Wer nun noch nicht weiss worum es sich hierbei handelt, durch das SBP-2 DMA Exploiting ist es moeglich mit phsyiskalischem Zugriff auf einen Rechner nicht nur alle Passwoerter zurueckzusetzen sondern auch Zugriff auf verschluesselte Partitionen zu erhalten welche Beispielsweise mit  Truecrypt oder Bitlocker verschluesselt wurden.
Dies wird ermoeglicht da Zugriff auf die im Speicher befindlichen Passwoerter oder Keys durch deratige Angriffe ermoeglicht wird.

Inception kann hierzu ueber Firewire, Thunderbolt, ExpressCard, PC Card oder jedes andere PCI/PCIE Interface angreifen, ueblicherweise wird die Firewireschnittstelle hierfuer missbraucht. Derartige Angriffe sind problemlos moeglich auch wenn kein User am System angemeldet ist oder sich der Rechner im Schlafmodus befindet, ein Forensiker oder Angreifer schliesst einfach sein Firewire Device an der Maschine an und das System laedt automatisch die notwendigen Treiber nach.

Sobald diese erste Huerde genommen ist erlaubt es Inception nun Speicherbilder bis zu einer Groesse von 4GB zu kopieren um diese im Nachhinein auf Passwoerter untersuchen zu koennen oder andere interssante Spuren welche sich im Speicher befunden haben.
Ebenfalls mit an Board ist eine Privilege Escalation welche Admin/Rootrechte auf den meisten Systemen zur Verfuegung stellen kann, herfuer patched das Tool automatisch tiefere Authmechanismen der angegriffenen Systeme.
Spuren hinterlaesst das Tool dabei vorerst keine, es ist somit durchaus moeglich die Abbilder vom Speicher zu erstellen und dann sein Zielobjekt wieder an seinen urspruenglichen Platz zu verbringen ohne das ein Opfer Kenntnis hier von erlangt.

Die aktuelle Version 0.2.2, ist in der Lage Windows 8 SP0, Windows 7 SP0-1, Vista SP0 und SP2, Windows XP SP2-3, Mac OS X Snow Leopard, Lion und Mountain Lion, Ubuntu 11.04, 11.10, 12.04, 12.10, Linux Mint 11, 12 und 13 sowohl auf x86 als auch x64-bit Machinen zu unlocken.

Auf den Seiten der Entwickler von Inception finden sich erste Beispiele fuer das Nutzen des Tools und auch entsprechende Gegenmassnahmen um seine Systeme abzusichern, die Gefahr die von DMA Attacken nun ausgeht (bekannt ist die Schwachstelle¹ schon etwas laenger) ist nun massiv gewachsen, die bisherigen Tools waren recht teuer, was professionelle Datendiebe oder auch Forensiker natuerlich nicht abhaelt, doch mit Inception bekommt nun jeder Angreifer ein sehr gutes Tool in die Hand und somit steigt das Risiko.

 

¹ Quellen: Physical memory attacks via Firewire/DMA

Ähnliche Posts

  1. 14. Januar 2013, 08:17 | #1

    Hi Milan, sau interessant – danke!
    Hast du Inception selber mal, mit irgendeinem System, ausprobiert?

    Ich habe mich im Januar 2012 schon mal über die Berichterstattung diverser IT-Portale aufgeregt:
    http://www.loggn.de/osx-snow-leopard-lion-passwort-per-firewire-uber-direct-memory-access-auslesen/

    Gruß Nico

  2. 14. Januar 2013, 09:26 | #2

    Moin,

    ja getestet, gegrinst und wieder einmal gezeigt das meine Systeme doch besser sind als die meisten anderen (Linux) die Windowskisten sterben alle.

    Zum Thema MACOS kann ich nur sagen, nicht getestet aber:

    OS X Lion disables DMA when the user is logged out/screen is locked and FileVault is enabled. Attacking will only work while the user is logged in, or if user switching is enabled. The user switching trick only works for versions before 10.7.2, where the vulnerability is patched.

    und

    Don’t panic – if you are using FileVault2 and OS X Lion (10.7.2) and higher, the OS will automatically turn off DMA when locked – you’re still vulnerable to attacks when unlocked, though
    Set a firmware password

    Die Inception Entwickler gehen sehr offen mit der Sache um oder nicht?

  3. 15. Januar 2013, 11:15 | #3

    Ja, hab ich auch gelesen – dann ist mein Mac OS X ja sicher. ;-)
    Genau, ich finde es auch super, wie viele Infos es auf der Inception-Seite gibt!

    Gruß

  4. 15. Januar 2013, 12:28 | #4

    Da fällt mir ein, ich habe ja ein “MacBook Pro 13″ Retina”, da gibt es keinen FireWire-Anschluss. Es gibt aber einen “Thunderbolt auf FireWire Adapter”!

    Da stellt sich mir die Frage:
    “Was passiert wenn einer den “Thunderbolt auf FireWire Adapter” anschließt?”

    Gute Frage oder? :-p
    Gruß Nico

  5. 15. Januar 2013, 12:41 | #5

    Weiss nun nicht wie sich MacOS da verhaelt, aber generell ist der Angriff ueber Thunderbolt moeglich.
    Einfach mal testen? Dafuer ist das Tool doch da.

  6. 17. Januar 2013, 16:05 | #6

    @t4c

    Ich habe leider kein zweites Firewire-Gerät und kein “Thunderbolt auf FireWire Adapter”. :-)

  1. Bisher keine Trackbacks